Hackers roubam dados de empresa de testes genéticos 23andMe
Ataque reaproveitou senhas de outros vazamentos para invadir contas em massa. Dados de material genético não foram afetados.
Ataque reaproveitou senhas de outros vazamentos para invadir contas em massa. Dados de material genético não foram afetados.
A 23andMe é uma empresa que realiza testes genéticos para apontar a ancestralidade e possíveis problemas de saúde dos clientes. A companhia confirmou que foi vítima de um ataque de criminosos, que roubaram milhões de dados de usuários.
As informações incluem nome, sexo, ano de nascimento, origem estimada (que diz que uma pessoa é de origem “europeia” ou “árabe”, por exemplo, sem mais detalhes), fenótipos, informações de saúde, fotos e dados de identificação. Os dados genéticos “crus” aparentemente não estão na lista.
Os dados estão sendo vendidos em fóruns online. O preço varia entre US$ 1 e US$ 10 por conta, dependendo da quantidade comprada.
Alguns grupos se destacam em meio ao vazamento. Há mais de um milhão de dados de judeus asquenazes (comunidade judaica) da Europa Central e do Leste Europeu, e centenas de milhares de dados de indivíduos de origem chinesa. Ainda não se sabe se os atacantes tinham como alvo esses grupos.
Pessoas famosas também constam na lista. Mark Zuckerberg, Elon Musk e Sergey Brin estão entre as celebridades que apareceram à venda em fóruns.
Não se sabe, porém, se os dados são legítimos. Musk e Brin, por exemplo, têm os mesmos IDs de conta e perfil, o que sugere que as informações são falsas.
Segundo a empresa, os dados foram raspados de seu sistema. Isso significa que os hackers teriam invadido contas individuais e extraído pequenas porções de informações, para depois remontá-las como uma base única.
O ataque aproveitou a função “DNA Relatives” (ou “familiares de DNA”, em tradução livre), que permite que os clientes compartilhem seus dados com outras pessoas.
Os criminosos usaram a técnica de credential stuffing (ou preenchimento de credenciais, em português). Ela consiste em reutilizar dados de outros vazamentos em outros serviços. Segundo a empresa, seu sistema de segurança não foi comprometido.
A 23andMe recomenda ativar a autenticação de dois fatores. Outra boa prática de segurança é não repetir senhas em diferentes sites.